Bishop Fox 把 AIMap 开源 — 一个 Nmap 风格的 AI 基础设施扫描器,跨 AI 表面做发现、指纹识别、风险评分、漏洞测试和可视化。覆盖包括 MCP 服务器、Ollama、vLLM、LiteLLM、LocalAI、LangServe、LangChain、Open WebUI、LibreChat、Gradio、Streamlit、ComfyUI、Stable Diffusion、Hugging Face TGI 和通用推理 APIs。在发布报道中落地、可能让 builder 审计自己 stack 的数字:公网上可达的 175,000+ Ollama 实例,**约 91% 没有配置认证**。这不是 Ollama 中的漏洞 — Ollama 在做你要求它做的事 — 是运维者在部署本地 LLM 服务器时没意识到他们正把它们 ship 到互联网。
架构直接:通过 Shodan 用 32 个 AI 特定签名做发现,通过 Nuclei 模板和 HTTP 探针做指纹识别(像 Ollama 根路径上的「Ollama is running」字符串或 vLLM 的 `/version` 端点这样的正向标识符),0-10 风险评分,协议特定的攻击套件(提示注入、工具滥用、模型提取),以及带 3D 地球视图的 Shodan 风格可视化。exposed-vs-accessible 区别是运维上重要的细节:HTTP 200 意味着没有 auth(任何人都能打模型),401/403 意味着 auth 已配置,而 WWW-Authenticate 头告诉你方案(Bearer、Basic、API key)。对运行自托管 LLM 基础设施的 builder,实际的资产盘点大约需要十分钟 — 把 AIMap 指向你自己的 ASN,得到一个列表,显示什么被暴露以及如何被保护。法律合规负担(CFAA、GDPR)在使用工具进行任何超出自己基础设施之外操作的运维者身上;Bishop Fox 把它作为工具发布,不作为服务。
生态读法与之前关于 MCP 服务器安全性和 Claude Code Auto Mode 架构的 piece 自然配对。三者间的模式:AI 基础设施部署速度超过部署卫生跟上的速度。无认证的 MCP 服务器、公网上的 Ollama 实例、暴露给找到它们的任何人的 vLLM 端点 — 攻击面广而可见。AIMap 不引入问题;它使问题可测量。91% Ollama 无认证的数字很惊人,但与「为个人使用部署 AI 基础设施,然后在公共 IP 上被遗忘」的更广泛模式一致。对 AI builder 公司的安全团队,这是直到现在还没有工具的资产盘点问题。对在家庭服务器上运行 Ollama 的独立 builder,相关问题是你是否真的打算把端口 11434 暴露给互联网,答案几乎总是不。
实际动作:如果你在生产或个人使用中运行任何列出的 AI 基础设施,用 AIMap 或等价物扫描你自己的边界。Ollama 默认配置在某些设置中绑定到 0.0.0.0 — 检查正在监听的接口,然后检查防火墙是否真的阻止外部流量。对 MCP 服务器运维者(最近关于攻击面的故事显示代理可通过 prompt-injected 工具输出被利用),auth + 网络隔离问题现在是工具可发现的。对在内部基础设施上部署 AI 能力的组织,至少每季度对自己的 IP 运行扫描器 — 部署无认证模式比安全意识传播更快地复制。更广泛的信号:AI 安全工具正赶上其余安全行业,而「我们部署了一个 LLM」与「我们安全地部署了一个 LLM」之间的差距比大多数 builder 意识到的更大。